基于蜜网技术的内网敏感信息泄露取证系统及方法
【专利摘要】本发明涉及计算机网络安全【技术领域】,尤其涉及基于蜜网技术的内网敏感信息泄露取证系统及方法。该取证系统,包括:蜜网、企业内网及连接于企业内网中的用户终端;蜜网中包括蜜饵服务器、蜜墙及取证服务器;蜜饵服务器通过蜜墙连接于企业内网中;取证服务器与蜜墙连接;蜜饵服务器,用于预先设置蜜饵;蜜墙,用于过滤和抓取用户终端通过企业内网访问蜜饵的交互数据包,并传输给取证服务器;取证服务器,用于根据接收的交互数据对企业内网中的敏感信息泄露行为进行取证。本发明的基于蜜网技术的内网敏感信息泄露取证系统及方法,提高了企业内网敏感信息泄露取证的有效性,更能满足企业内部网络安全的实际需求。
【专利说明】基于蜜网技术的内网敏感信息泄露取证系统及方法
【技术领域】
[0001]本发明涉及计算机网络安全【技术领域】,具体而言,涉及基于蜜网技术的内网敏感信息泄露取证系统及方法。
【背景技术】
[0002]随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等已经是网络上每台主机随时可能遇到的危险。当前已有相对数量的方法应对上述危险。而对于企业内网来说,网内终端的恶意攻击、内网敏感信息泄漏等行为对企业内网来说也存在着巨大威胁。
[0003]当前,对企业内网中敏感信息泄露行为进行取证的方法主要是基于日志数据的审计行为,通过对记录在服务器、防火墙、入侵检测及数据泄露防护设备DLP等安全设备中的安全日志进行分析,获知企业内网人员的敏感信息泄露行为。
[0004]但,由于日志数据记录在不同的设备上,上述方法在取证过程中无法完整记录敏感信息泄露的行为过程,且日志数据庞大,无法保证取证结果的准确性和科学性;进一步地,基于日志数据对敏感信息泄露行为进行取证,一般是敏感信息已经泄露出去,错失了防护和取证的最佳时机,无法做到事先侦测和主动防护。
[0005]由此可见,基于日志数据审计行为进行敏感信息泄露的取证不能满足企业内部网络安全的实际需求。
【发明内容】
[0006]本发明的目的在于提供基于蜜网技术的内网敏感信息泄露取证系统及方法,以提高企业内网敏感信息泄露取证的有效性,满足企业内部网络安全的实际需求。
[0007]本发明实施例提供了一种基于蜜网技术的内网敏感信息泄露取证系统,包括:蜜网、企业内网及连接于所述企业内网中的用户终端;所述蜜网中包括蜜饵服务器、蜜墙及取证服务器;所述蜜饵服务器通过蜜墙连接于所述企业内网中;所述取证服务器与所述蜜墙连接;所述蜜饵服务器,用于预先设置蜜饵;所述蜜墙,用于过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据包,并传输给所述取证服务器;
[0008]所述取证服务器,用于根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证。
[0009]优选地,所述取证服务器包括:可疑终端确定模块,用于根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端;过滤规则生成模块,用于确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则;传输模块,用于将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息,并传输给所述取证服务器。
[0010]本发明实施例还提供了一种基于蜜网技术的内网敏感信息泄露取证方法,包括:位于蜜网中的蜜饵服务器预先设置蜜饵,其中所述蜜饵服务器通过蜜墙连接于企业内网中,所述企业内网中连接有用户终端,所述蜜墙还与取证服务器连接;所述蜜墙过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据,并传输给所述取证服务器;所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证。
[0011]优选地,所述蜜饵包括:数据库服务、空口令虚拟机、弱口令虚拟机或虚拟机中存储的既定文件。
[0012]优选地,所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证,包括:所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端;所述取证服务器确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则;所述取证服务器将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。
[0013]优选地,所述生成针对所述可疑终端的过滤规则包括:生成针对所述可疑终端的伯克利数据包过滤器BPF过滤规则。
[0014]优选地,所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端,包括:所述取证服务器根据接收的所述交互数据,统计与所述交互数据对应的用户终端在预设时间范围内,尝试访问所述蜜饵的尝试次数;所述取证服务器判断所述尝试次数是否大于预设的阈值次数,如果是,则确定对应的用户终端为可疑终端。
[0015]优选地,所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,分别为初级危险、中级危险及高级危险。
[0016]优选地,当所述蜜饵为数据库类型蜜饵时,所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,包括:
[0017]将一般连接请求和/或尝试连接数据库端口的访问行为确定为初级危险访问行为;
[0018]将数据库登录请求和/或尝试猜解数据库登录口令的访问行为确定为中级危险访问行为;
[0019]将暴力破解、成功登录数据库、登录数据库后进行的操作过程、登录数据库后访问的数据库信息和/或尝试删除访问记录的访问行为确定为高级危险访问行为。
[0020]优选地,该方法还包括:取证服务器根据可疑终端对蜜饵的访问尝试过程行为,生成取证报告,其中所述取证报告包括所述可疑终端的访问时间、IP地址、所述可疑终端的危险行为、危险级别及所述可疑终端访问行为的界定。
[0021]本发明实施例的基于蜜网技术的内网敏感信息泄露取证系统及方法,在企业内网中部署蜜网,利用蜜网中的蜜饵服务器设置蜜饵,其中蜜饵是人为设置的模拟敏感信息的诱饵,在正常符合企业安全策略的情况下,不会存在对蜜饵的授权访问。当蜜墙监测到位于企业内网中的用户终端对蜜饵的访问满足一定条件时,可以认为该用户终端存在泄露企业内网敏感信息的可疑行为,蜜墙将该用户终端与蜜饵服务器的交互数据传输给取证服务器,由取证服务器基于上述交互数据对企业内网中的敏感信息泄露行为进行取证。
[0022]本发明实施例的上述取证系统及方法,以蜜饵模拟敏感信息引诱用户终端对蜜饵进行访问,在取证过程中不存在对企业内网中真正敏感信息的泄露行为,且该取证方法是主动防御技术,可以及时发现、识别出潜在的泄露行为,可以有效避免取证滞后的情况;而且用户终端对蜜饵的访问过程中形成的交互数据集中到取证服务器上,在取证服务器中可以获取泄密终端完整的泄密行为过程,取证过程中涉及的数据量少,且取证服务器中用于取证的数据均为有效数据,不存在错报、漏报的情况,保证取证结果的准确有效性。因此,本发明实施例的基于蜜网技术的内网敏感信息泄露取证系统及方法,提高了企业内网敏感信息泄露取证的有效性,更能满足企业内部网络安全的实际需求。
[0023]为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
【专利附图】
【附图说明】
[0024]为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0025]图1示出了本发明实施例所提供的一种基于蜜网技术的内网敏感信息泄露取证系统;
[0026]图2示出了本发明实施例所提供的一种取证服务器的结构示意图;
[0027]图3示出了本发明实施例所提供的一种基于蜜网技术的内网敏感信息泄露取证方法的流程图;
[0028]图4示出了本发明实施例所提供的一种基于蜜网技术的内网敏感信息泄露取证方法的信息流转图。
【具体实施方式】
[0029]下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0030]鉴于相关技术中,基于日志数据对企业内网敏感信息泄露行为进行取证的种种弊端,本发明实施例提供了一种基于蜜网技术的内网敏感信息泄露取证系统及方法,该系统及方法中利用蜜网设置蜜饵,蜜饵是用于识别潜在敏感信息泄露源的诱饵,通过记录分析用户终端对蜜饵的访问过程,实现对企业内网中泄露敏感信息行为的取证。
[0031]基于上述取证思想,本发明实施例提供了一种基于蜜网技术的内网敏感信息泄露取证系统,如图1所示,该系统包括:蜜网、企业内网3及连接于企业内网3中的用户终端4 ;蜜网中包括蜜饵服务器1、蜜墙2及取证服务器5 ;蜜饵服务器I通过蜜墙2连接于企业内网3中;取证服务器5与蜜墙2连接。该系统正常运行时,蜜墙2工作在网桥模式下,蜜饵服务器I对企业内网3中的用户终端4均可见。蜜饵服务器1,用于预先设置蜜饵,蜜饵的作用是用于识别潜在敏感信息泄露源的诱饵;蜜墙2,用于过滤和抓取用户终端4通过企业内网3访问蜜饵的交互数据包,并传输给取证服务器5 ;取证服务器5,用于根据接收的交互数据对企业内网3中的敏感信息泄露行为进行取证。
[0032]本发明实施例的上述取证系统,以蜜饵模拟敏感信息引诱用户终端4对蜜饵进行访问,在取证过程中不存在对企业内网3中真正敏感信息的泄露行为,且该取证方法是主动防御技术,可以及时发现、识别出潜在的泄露行为,可以有效避免取证滞后的情况;而且用户终端4对蜜饵的访问过程中形成的交互数据集中到取证服务器5上,在取证服务器5中可以获取泄密终端完整的泄密行为过程,取证过程中涉及的数据量少,且取证服务器5中用于取证的数据均为有效数据,不存在错报、漏报的情况,保证取证结果的准确有效性。因此,本发明实施例的基于蜜网技术的内网敏感信息泄露取证系统及方法,提高了企业内网3敏感信息泄露取证的有效性,更能满足企业内部网络安全的实际需求。
[0033]本发明实施例的取证系统中,取证服务器5是整个系统的核心,取证服务器5的主要功能是对蜜墙2传输的交互数据进行存储、分析用户终端4对蜜饵服务器I的访问信息、识别可疑终端、记录可疑终端对蜜饵服务器I的访问过程,为了实现取证服务器5的各项功能,取证服务器5的主要结构如图2所示,包括:
[0034]可疑终端确定模块51,用于根据接收的交互数据,确定与交互数据对应的用户终端4是否为可疑终端;
[0035]过滤规则生成模块52,用于确定用户终端4为可疑终端时,对可疑终端进行标识,并生成针对可疑终端的过滤规则;
[0036]传输模块53,用于将过滤规则传输给蜜墙2,以使蜜墙2基于过滤规则获取可疑终端与蜜饵服务器I的所有通信信息并传输给取证服务器5。
[0037]与上述基于蜜网技术的内网敏感信息泄露取证系统相对应的,本发明实施例还提供了一种取证方法,如图3所示,主要处理步骤包括:
[0038]步骤Sll:位于蜜网中的蜜饵服务器预先设置蜜饵,其中蜜饵服务器通过蜜墙连接于企业内网中,企业内网中连接有用户终端,蜜墙还与取证服务器连接;
[0039]步骤S12:蜜墙过滤和抓取用户终端通过企业内网访问蜜饵的交互数据,并传输给取证服务器;
[0040]步骤S13:取证服务器根据接收的交互数据对企业内网中的敏感信息泄露行为进行取证。
[0041 ] 本发明实施例的取证方法中,蜜网中的蜜饵是人为设置的模拟敏感信息的诱饵,在正常符合企业安全策略的情况下,不会存在对蜜饵的授权访问,因而任何对于蜜饵服务器的扫描和对于蜜饵的访问尝试,都是违反企业安全策略的恶意行为,是一种对于敏感信息的非授权获取行为。因此通过记录、分析访问蜜饵的用户终端的终端信息及对蜜饵的访问过程,能够及时发现潜在的泄露者,实现对于泄露行为的主动取证。
[0042]本发明中,蜜饵有多种类型和形式,可以根据实际取证需要进行设置,具体地,蜜饵服务器设置的蜜饵可以包括数据库服务(该数据库服务可以为ORACE数据库服务,具体可以为开启tcpl521端口)、空口令虚拟机、弱口令虚拟机或虚拟机中存储的既定文件,通过对访问蜜饵的用户终端的监测可以识别潜在敏感信息泄露源。
[0043]本方法中,取证服务器是敏感信息泄露取证的核心,其取证的过程如图4所示,包括:蜜墙2对用户终端4与蜜饵服务器的交互数据进行过滤和抓取,并将抓取的交互数据发送给取证服务器5。取证服务器5对接收的交互数据进行存储,并根据接收到的交互数据,确定与交互数据对应的用户终端4是否为可疑终端,其中,取证服务器5接收到的每条交互数据中均包括访问蜜饵的用户终端4的IP地址、用户终端4访问的端口及访问时间等;取证服务器5确定用户终端4为可疑终端时,在数据库6中对可疑终端进行标识,并生成针对可疑终端的过滤规则;取证服务器5将过滤规则传输给蜜墙2,以使蜜墙2基于过滤规则获取可疑终端与蜜饵服务器的所有通信信息,蜜墙2将获取的可疑终端的所有通信信息传输给取证服务器5,在取证服务器5中记录可疑终端通信的全过程,实现对可疑终端泄露敏感信息的取证过程。取证服务器5根据可疑终端对蜜饵的访问全过程生成取证报告。
[0044]上述方法中,取证服务器生成的针对可疑终端的过滤规则包括:取证服务器生成针对可疑终端的伯克利数据包过滤器BPF过滤规则。
[0045]取证服务器根据接收的交互数据,确定与交互数据对应的用户终端是否为可疑终端的具体方法包括:取证服务器根据接收的交互数据,统计与交互数据对应的用户终端在预设时间范围内,尝试访问蜜饵的尝试次数;取证服务器判断尝试次数是否大于预设的阈值次数,如果是,则确定对应的用户终端为可疑终端。
[0046]取证服务器参照信息安全界对可疑终端的访问行为的危险程度进行分级,分别为初级危险、中级危险和高级危险,其中,初级危险性最小,其它级别的危险性逐级提高。
[0047]当蜜饵为数据库类型蜜饵时,对可疑终端的访问行为的危险程度进行分级,包括:将一般连接请求和/或尝试连接数据库端口的访问行为确定为初级危险访问行为;将数据库登录请求和/或尝试猜解数据库登录口令的访问行为确定为中级危险访问行为;将暴力破解、成功登录数据库、登录数据库后进行的操作过程、登录数据库后访问的数据库信息和/或尝试删除访问记录的访问行为确定为高级危险访问行为。
[0048]该方法还包括:取证服务器根据可疑终端对蜜饵的访问尝试过程行为,生成取证报告,其中所述取证报告包括所述可疑终端的访问时间、IP地址、所述可疑终端的危险行为、危险级别及所述可疑终端访问行为的界定。
[0049]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
【权利要求】
1.基于蜜网技术的内网敏感信息泄露取证系统,其特征在于,包括:蜜网、企业内网及连接于所述企业内网中的用户终端; 所述蜜网中包括蜜饵服务器、蜜墙及取证服务器;所述蜜饵服务器通过蜜墙连接于所述企业内网中;所述取证服务器与所述蜜墙连接; 所述蜜饵服务器,用于预先设置蜜饵; 所述蜜墙,用于过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据包,并传输给所述取证服务器; 所述取证服务器,用于根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证。
2.根据权利要求1所述的系统,其特征在于,所述取证服务器包括: 可疑终端确定模块,用于根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端; 过滤规则生成模块,用于确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则; 传输模块,用于将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。
3.基于蜜网技术的内网敏感信息泄露取证方法,其特征在于,包括: 位于蜜网中的蜜饵服务器预先设置蜜饵,其中所述蜜饵服务器通过蜜墙连接于企业内网中,所述企业内网中连接有用户终端,所述蜜墙还与取证服务器连接; 所述蜜墙过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据,并传输给所述取证服务器; 所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证。
4.根据权利要求3所述的方法,其特征在于,所述蜜饵包括:数据库服务、空口令虚拟机、弱口令虚拟机或虚拟机中存储的既定文件。
5.根据权利要求3所述的方法,其特征在于,所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证,包括: 所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端; 所述取证服务器确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则; 所述取证服务器将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。
6.根据权利要求5所述的方法,其特征在于,所述生成针对所述可疑终端的过滤规则包括: 生成针对所述可疑终端的伯克利数据包过滤器BPF过滤规则。
7.根据权利要求5所述的方法,其特征在于,所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端,包括: 所述取证服务器根据接收的所述交互数据,统计与所述交互数据对应的用户终端在预设时间范围内,尝试访问所述蜜饵的尝试次数; 所述取证服务器判断所述尝试次数是否大于预设的阈值次数,如果是,则确定对应的用户终端为可疑终端。
8.根据权利要求3所述的方法,其特征在于,该方法还包括:所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,分别为初级危险、中级危险及高级危险。
9.根据权利要求8所述的方法,其特征在于,当所述蜜饵为数据库类型蜜饵时,所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,包括: 将一般连接请求和/或尝试连接数据库端口的访问行为确定为初级危险访问行为; 将数据库登录请求和/或尝试猜解数据库登录口令的访问行为确定为中级危险访问行为; 将暴力破解、成功登录数据库、登录数据库后进行的操作过程、登录数据库后访问的数据库信息和/或尝试删除访问记录的访问行为确定为高级危险访问行为。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:取证服务器根据可疑终端对蜜饵的访问尝试过程行为,生成取证报告,其中所述取证报告包括所述可疑终端的访问时间、IP地址、所述可疑终端的危险行为、危险级别及所述可疑终端访问行为的界定。
【文档编号】H04L29/06GK104486320SQ201410752894
【公开日】2015年4月1日 申请日期:2014年12月10日 优先权日:2014年12月10日
【发明者】顾广宇, 张淑娟, 孙建, 王潇 申请人:国家电网公司, 国网安徽省电力公司电力科学研究院, 国网安徽省电力公司六安供电公司